專家：開發人員要對程式碼安全負責

| | | | | | 留下回應

    

前白宮負責電腦安全顧問Howard Schmidt表示，軟體開發人員應當對自己編寫程式碼的安全負責。

本週二在「SecureLondon 2005」會議上發言時，Schmidt也呼籲對軟體開發人員進行更好的培訓。他說，他相信許多開發人員都不具備編寫安全的程式碼所需要的技能。

他表示，「在軟體開發中，我們需要得到軟體工程師的保證：他們編寫的程式碼是安全的。」

Schmidt列舉了最近會晤的一些開發人員為例，他們曾經開發了一個利用SSL 與後端資料庫通訊的Web 軟體。

他們使用了強大的認證技術、不容易破解的密碼、加密通道，儲存資料也被加了密，但當資料被傳輸至辦公室時，資料沒有被加密，這不是一個完整的安全解決方案(end-to-end solutions)。

「這算完全的安全嗎？」Schmidt說。

Schmidt還列舉了微軟最近的一項調查結果，即64%的軟體開發人員不相信他們能夠開發出安全的軟體。他認為，更好的培訓是解決之道。

Schmidt說，「大多數的大學課程注重的都是可用性、可擴充性、可管理性，而不是安全性。目前，許多大學都在開始注重資訊安全，但傳統上，Web 軟體開發一直是以滑鼠點選率來作衡量的，也就是如何讓使用者願意點下去。」

Schmidt表示，開發軟體的廠商也要負責，在聘用員工前要檢查他們在安全編程方面是否合格。

英國電腦協會也認為在軟體開發中確實需要追究責任，但對員工編寫程式碼的安全負責的應當是企業，而不是員工本身。

在接受採訪時說，英國電腦協會的代表說，「認為軟體開發人員個人要對他們編寫軟體的安全負責，Schmidt扯得太遠了，但我們贊同他考慮的方向。確保軟體的安全性是公司的責任。」

另外，許多安全攻擊成功的原因都在於人們沒有安裝最新的修補軟體，或沒有正確地安裝系統。英國電腦協會的這名代表說，「企業本身也需要為它們購買的軟體的安全負一定的責任。」